Bei Oracle gibt es zwei Update-Zyklen: Sicherheits-Updates für Oracle-Produkte gibt es alle drei, für Java alle vier Monate. Heute fallen diese Update-Termine zusammen, weil Oracle für Java einen Zusatztermin einschiebt. Turnusmäßig wäre Java erst wieder im Juni an der Reihe.

Doch Oracle musste bereits viermal in diesem Jahr kritische Java-Lücken stopfen, ohne dass dabei alle bereits bekannten Schwachstellen behoben worden wären. Beim Hacker-Wettbewerb Pwn2own Anfang März wurde Java zudem viermal gehackt. Vier Teilnehmer konnten Lücken im Java Plug-in JRE (Java Runtime Environment) nutzen, um die Kontrolle über einen Rechner zu erlangen.

So hat Oracle für heute Abend angekündigt, 42 Java-Schwachstellen beheben zu wollen, von denen 39 ohne Benutzeranmeldung über das Netz ausnutzbar sind. Mehrere Lücken werden den höchsten CVSS-Score 10.0 tragen. Die Sicherheitslücken betreffen die Java-Generationen 7, 6 und 5, wobei es nur noch für Java 7 öffentlich verfügbare Updates geben soll. Java 5 und 6 haben das Ende ihres Produktlebenszyklus' erreicht, Updates erhalten nur noch zahlende Kunden (Java for Business).

Die Updates (CPU - Critical Patch Updates) für die anderen Oracle-Produkte sollen 128 Schwachstellen beseitigen, die Dutzende von Programmpaketen betreffen. Das Spektrum reicht von der Oracle Database über die E-Business Suite bis zur quelloffenen Datenbank MySQL. Allein in MySQL, das auf Millionen Websites eingesetzt wird, will Oracle 25 Lücken stopfen. Nur eine soll aus der Ferne über das Netzwerk und ohne Benutzeranmeldung ausnutzbar sein.